KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

İŞLEME POLİTİKASI

Doküman No: POL.05

Yayın Tarihi: 18.12.2020

Revizyon No: 00

Revizyon Tarihi: -

 

 

  1. AMAÇ VE KAPSAM

MESPA olarak; müşterilerinin, potansiyel müşterilerinin, tedarikçilerinin, ziyaretçilerinin, çalışanlarının, çalışan adaylarının, hukuki veya ticari ilişki ve/veya iş birliği içinde olduğu diğer kişi, kurum ve kuruluşlar ile bunların çalışanlarının, iş ortaklarının, hissedarlarının ve yetkililerinin özel nitelikli kişisel verilerinin gizliliği ve güvenliği önemsemekteyiz. İşbu KVKK Özel Nitelikli Kişisel Veri İşleme Politikası ’ nın “Politika” temel amacı, yukarıda sayılan kişiler başta olmak üzere özel nitelikli kişisel verilere ilişkin iş ve işlemlerin usul ve esaslarını belirlemektir.

İşbu Politika; MESPA ’nın birimlerinde işlenen, saklanan ve imha edilen tüm özel nitelikli kişisel verileri kapsamaktadır.

İşbu Politika özel nitelikli kişisel veri olmayan veriler hakkında uygulanmayacaktır.

Kişisel Verilerin KorunmasıKanunu kapsamında, MESPA kendi iş veçalışmaları özelinde, bizzat “veri sorumlusu” dur. Politika MESPA’ nın internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

İşbu Politika ’nın MESPA tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, MESPA uygulayacağı adımları Hukuk Birimi’ne danışarak yeniden belirleyecektir.

 

  1. TANIMLAR

MESPA Özel Nitelikli Kişisel Veri İşleme Politikasında kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

 

 

ŞİRKET

 

:

Mespa Sağlık Malzemeleri Sanayi ve Ticaret A.Ş.

 

KVKK

 

:

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ‘de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

 

 

 

 

Politika

:

 

KVKK Özel Nitelikli Kişisel Veri İşleme Politikası

 

 

 

 

 

 

Açık Rıza

:

 

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

 

 

 

Anonim Hale Getirme

:

 

Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

 

 

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar

:

 

10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe  giren  Aydınlatma Yükümlülüğünün Yerine getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.

 

 

 

 

HakkındaTebliğ

 

 

 

 

 

 

 

 

 

 

 

 

 

Çalışan(lar)

 :

 

 MESPA çalışan(lar)ı.

 

 

 

 

 

 

 

 

 

 

 Çalışan KVK Politikası

 

 

MESPA çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “MESPA A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”.

 

 

 

Kişisel Veri

:

 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

 

 

 

Kişisel Veri Sahibi

:

 

Kişisel verisi işlenen gerçek kişi. Örneğin; çalışanlarımız, ziyaretçilerimiz, bizimle çalışmak isteyen adaylar, müşterilerimiz

 

 

 

KVK Kurulu

:

 

Kişisel Verileri Koruma Kurulu.

 

 

 

 

 

 

 

 

 

KVK Kurumu

:

 

Kişisel Verileri Koruma Kurumu.

 

 

 

 

 

 

 

 

 

 

 

Özel Nitelikli Kişisel Veri

 

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

 

 

MESPA İş Ortakları

:

MESPA’nın ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar.

 

 

MESPA Grup Şirketleri

:

Mespa Medikal, Mespa Global, Hospitool şirketlerini kapsamaktadır.

 

 

  1. SORUMLULUK

KVKK Özel Nitelikli Kişisel Veri İşleme Politikası’ nın MESPA ’da ve diğer grup şirketlerinde işleyiş, faaliyet ve süreçlerinin uygulanmasında Genel Müdür sorumlu olmakla birlikte; bu politikanın uygulanmasından MESPA ’nın tüm özel nitelikli veri işleyen birimleri ve çalışanları sorumludur.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ESASLARI

Politika’ da 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ nun 6. Maddesine uygun olarak özel nitelikli kişisel veriler ve işleyiş şartları tanımlanmıştır. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemler alınmaktadır.

Politika’ da belirtilen önlemler yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri de dikkate alarak çalışmalarımızı yapmaktayız.

   

4.1. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

Özel Nitelikli Kişisel Veriler’in işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, MESPA aşağıda belirtilen önlemleri almaktadır.

4.1.1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.

4.1.2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik düzenlemeler;

  • Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir,
  • Gizlilik sözleşmeleri yapılmaktadır,
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
  • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından kendisine tahsis edilen envanteri iade almaktadır.

4.1.3. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,

  • Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
  • Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,
  • Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
  • Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
  • Kişisel Veriler’e uzaktan erişim gerekiyorsa kimlik doğrulama sistemi ile sağlanmaktadır.

  

4.1.4.    Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

  • Özel Nitelikli Kişisel Veriler’ in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır,
  • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

4.1.5.  Özel Nitelikli Kişisel Veriler aktarılacaksa;

  • Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarımı gerçekleştirilmektedir,
  • Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve POL 04 KVKK Veri Aktarımı ve Paylaşımı Politikası uygun olarak gönderilmektedir.

 

  1. POLİTİKA’NIN YAYINLANMASI ve SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, web sitesinde kamuya açıklanır. Basılı kağıt nüshası da Kalite Yönetim Sistemi Sorumlusu tarafından dosyasında saklanır.

 

  1. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.